鹤壁煤电股份有限公司热电厂管理信息系统硬件部分设计方案(编辑修改稿)

鹤壁煤电股份有限公司热电厂管理信息系统硬件部分设计方案(编辑修改稿)内容摘要：

系列属于网络卫士系列防火墙的中高端产品，特别适用于网络结构复杂、应用丰富、高带宽、大流量的大中型企业骨干级网络环境。 自主安全操作系统平台 采用自主知识产权的安全操作系统 — TOS（ Topsec Operating System）， TOS拥有优秀的模块化设计架构，有效保障了防火墙、 VPN、防病毒、内容过滤、抗攻击、流量整形等模块 的优异性能，其良好的扩展性为未来迅速扩展更多特性提供了无限可能。 TOS具有具有高安全性、高可靠性、高实时性、高扩展性及多体系结构平台适应性的特点。 CleanVPN 服务 企业对 VPN应用越来越普及，但是当企业员工或合作伙伴通过各种 VPN远程访问企业网络时，病毒 、蠕虫 、木马、恶意代码等有害数据有可能通过 VPN隧道从远程 PC 或网络传递进来，这种威胁的传播方式极具隐蔽性，很难防范。 同时具备防火墙、 VPN、防病毒和内容过滤等功能，并且各功能相互融合，能够对 VPN数据进行检查，拦截病毒 、蠕虫 、木马、恶意代码等 有害数据，彻底保证了 VPN通信的安全，为用户提供放心的 CleanVPN 服务。 鹤壁煤电股份有限公司热电厂管理信息系统 11 完全内容检测 CCI 内容检测技术发展至今，大致经历了三个阶段，从早期的状态检测（ Stateful Inspection）到后来的深度包检测（ Deep Packet Inspection），现在已经发展到了最新的完全内容检测（ CCI， Complete Content Inspection）。 状态检测只检查数据包的包头，深度包检测可对数据包内容进行检查，而 CCI则可 实时将网络层数据 还原为完整的应用层对象（如文件 、网页、邮件等 ） ，并对这些完整内容进行全面检查，实现彻底的内容防护。 在 MAC层提供基于 MAC地址的过滤控制能力，同时支持对各种二层协议的过滤功能；在网络层和传输层提供基于状态检测的分组过滤，可以根据网络地址、网络协议以及 TCP 、UDP 端口进行过滤，并进行完整的协议状态分析；在应用层通过深度内容检测机制，可以对高层应用协议命令、访问路径、内容、访问的文件资源、关键字、移动代码等实现内容安全控制；同时还直接支持丰富的第三方认证，提供用户级的认证和授权控制。 网络卫士系列防火墙的多级过滤形成了立体的、全面的访问控制机制，实现 了全方位的安全控制。 独特的安全策略体系 采用面向资源的防火墙策略体系。 通过建立独立的防火区域，以及中央管理接口、管理端口协议、节点对象、子网对象的应用，可以实现层次分明而又立体化的策略机制，制定灵活安全的通信策略和访问策略，策略配置简单，且易于维护，可以方便地定义各种粒度的安全规则。 鹤壁煤电股份有限公司热电厂管理信息系统 12 超强的防御功能 高级的 Intelligent Guard技术提供了强大的入侵防护功能，能抵御常见的各种攻击，包括 Syn Flood、 Smurf、 Targa Syn Attack、 ICMP flood、 Ping of death、 Ping Sweep、Land attack、 Tear drop attack、 IP address sweep option、 Filter IP source route option、Syn fragments、 No flags in TCP、 ICMP碎片、大包 ICMP攻击、不明协议攻击、 IP欺骗、IP security options、 IP source route、 IP record route 、 IP bad options、 IP碎片、端口扫描等几十种攻击，网络卫士系列防火墙不但有内置的攻击 检测能力，还可以和 IDS产品 实现联动。 这不但提高了安全性，而且保证了高性能。 强大的应用代理模块 具有透明应用代理功能，支持 FTP、 HTTP、 TELNET、 PING、 SSH、 FTP— DATA、 SMTP、 WINS、TACACS、 DNS、 TFTP、 POP RTELNET、 SQLSERV、 NNTP、 IMAP、 SNMP、 NETBIOS、 DNS、 IPSEC— ISAKMP、 RLOGIN、 DHCP、 RTSP、 MSSQL（ S、 M、 R）、 RADIUS164 PPTP、 SQLNET— 152SQLNET— 152 、 MSN、 CVSSERVER、 MSTHEATER、 MYSQL、 、 SECURID（ TCP、 UDP）PCANYWHERE、 IGMP、 GRE、 PPPOE、 IPV6等协议，可以实现文件级过滤。 丰富的 AAA 功能，支持会话认证 网络卫士系列防火墙支持对网络用户提供丰富的安全身份认证，如一次性口令（ OTP）、S/KEY、 RADIUS 、 TACACS、 LDAP、 secuid 、域认证及数字证书等常用的安全认证方法，也可以使用专用的认证客户端软件进行认证。 基于用户的安全策略更灵活、更广泛地实现了用户鉴别和 用户授权的控制，并提供了丰富的安全日志来记录用户的安全事件。 网络卫士系列防火墙支持会话认证功能，即当开始一个新会话时，需要先通过认证才能建立会话。 这个功能可大大提高应用访问的安全性，实现更细粒度的访问控制。 强大的地址转换能力 网络卫士系列防火墙拥有强大的地址转换能力。 网络卫士系列防火墙同时支持正向、反向地址转换，能为用户提供完整的地址转换解决方案。 正向地址转换用于使用私有 IP地址的内部网用户通过防火墙访问公众网中的地址时对源地址进行转换。 网络卫士系列防火墙支持依据源或目的地址指定转换地址的静态 NAT方 式和从地址缓冲池中随机选取转换地址的动态 NAT方式，可以满足绝大多数网络环境的需求。 对公众网来说，访问全部是来自于防火墙转换后的地址，并不认为是来自内部网的某个地址，鹤壁煤电股份有限公司热电厂管理信息系统 13 这样能够有效的隐藏内部网络的拓扑结构等信息。 同时内部网用户共享使用这些转换地址，自身使用私有 IP 地址就可以正常访问公众网，有效的解决了公有 IP地址不足的问题。 内部网用户对公众网提供访问服务（如 Web 、 FTP 服务等）的服务器如果是私有 IP 地址，或者想隐藏服务器的真实 IP 地址，都可以使用网络卫士系列防火墙的反向地址转换来对目的地址进行转 换。 公众网访问防火墙的反向转换地址，由内部网使用保留 IP 地址的服务器提供服务，同样既可以解决公有 IP 地址不足的问题，又能有效地隐藏内部服务器信息，对服务器进行保护。 网络卫士系列防火墙提供端口映射和 IP 映射两种反向地址转换方式，端口映射安全性更高、更节省公有 IP 地址， IP 映射则更为灵活方便。 卓越的网络及应用环境适应能力 支持众多网络通信协议和应用协议，如 VLAN、 ADSL、 PPP、 ISL、 、 Spanning tree、IPSEC、 、 MMS、 RTSP、 ORACLE SQL*NET、 PPOE、 MS RPC 等协议，适用网络的范围更加广泛，保证了用户的网络应用。 同时，方便用户实施对 VOIP、视频会议、 VOD点播及数据库等应用的使用和控制。 丰富的接入方式 适应各种 Ether的接入，支持 ISL、 Dot1q、 MPLS等封装格式，支持 Trunk即主干链路工作方式，能够同交换机的 Trunk接口对接，并且能够实现 VLAN间通过防火墙进行路由，满足了当今各种业务的建设需要，保证了防火墙无障碍地接入各种网络环境，最大限度地满足了用户的各种需求。 提供对 ADSL等多种宽带接入方式的支持，支持 ADSL的按需拨号、自动地址转换等实用功能，保证安全、便捷地通过 ADSL接入 Inter。 1 智能的负载均衡和高可用性  服务器负载均衡 网络卫士系列防火墙可以支持一个服务器阵列，这个阵列经过防火墙对外表现为单台的机器，防火墙将外部来的访问在这些服务器之间进行均衡。  高可用性 提供了双机备份功能，即在同一个网络节点使用两个配置相同的防火墙。 正常情况下一个处于工作状态，为主防火墙，另一个处于备份状态，为从防火墙。 当主防火墙发生意外宕机、网络故障、硬件故障等情况时，主从防火墙自动切换工作状态，从防火墙自动代替主防火 墙正常工作，从而保证了网络的正常使用，网络卫士系列防火墙的双机热备功能使用自主鹤壁煤电股份有限公司热电厂管理信息系统 14 专利的智能状态传送协议 (ISTP)， ISTP能高效进行系统之间的状态同步，实现了 TCP协议握手级别的状态同步和热备。 当主防火墙发生故障时，这台防火墙上的正在建立或已经建立的连接不需要重新建立就可以透明地迁移到另一台防火墙上，网络使用者不会觉察到网络链路切换的发生。  流量均衡 网络卫士系列防火墙支持完整生成树（ SpanningTree）协议，可以在交换网络环境中支持 PVST和 CST等工作模式，在接入交换网络环境时可以通过生成树协议 的计算，使不同的 VLAN使用不同的物理链路，将流量由不同的物理链路进行分担，从而进行流量均衡，该功能和 ISTP协议结合使用还可以在使用高可用性的同时实现流量均衡。 1 方便灵活的安全管理方式 经过简单的配置即可接入网络进行通信和访问控制。 GUI 管理界面提供了清晰的管理结构，每一个管理结构元素包含了丰富的控制元和控制模型。 对所有管理采用加强的 SSL进行加密传输。 加强的 SSL要求 GUI客户端对防火墙进行证书认证的同时，防火墙也要对客户端进行证书认证，避免了传统的 HTTPS不对 GUI客户端进行认证的安全问题。 管理员 认证使用证书和密码相结合的双因素认证，管理过程进行严格的审计，实现了真正的安全管理。 同时，可以支持 SNMP与当前通用的网络管理平台兼容，如 HP Openview NNM、 TOPSEC Manager 等，方便了管理和维护。 为了保证远程管理的安全性，网络卫士系列防火墙不论是对管理员还是管理过程都采取了一系列安全措施：对远程管理员主机的限定和对同时登陆数量的限制。 为了防止远程管理过程被监听和修改，网络卫士系列防火墙还支持基于 SSH 的远程登录管理，将管理主机和防火墙之间的通讯进行加密以保证安全。 1 强大的联动 支 持与基于 TopSEC 协议的 IDS、防病毒及其他安全产品的联动，提供智能的网络安全保护。 1 系统升级与容错 网络卫士系列防火墙可以通过命令行及图形方式进行系统升级，同时网络卫士系列防火墙采用双系统设计，在主系统发生故障时，用户可以在启动时选择 BACKUP方式，用备份系统引导系统。 鹤壁煤电股份有限公司热电厂管理信息系统 15 网络的安全隔离 设备选型方案 威讯 GAP1000 电力专用安全隔离装置 (正向型 ) 本产品设计依据国家经贸委 [20xx]第 30 号令《电网和电厂计算机监控系统 及调度数据网络安全防护的规定》和国家电力调度通信中心 制订的《全国电力二 次系统安全防护总体方案》设计。 在国家经贸委 [20xx]第 30 号令《电网和电厂计算机监控系统及调度数据网 络安全防护的规定》指出电力系统安全防护的基本原则是：电力系统中，安全等 级较高的系统不受安全等级较低系统的影响。 电力监控系统的安全等级高于电力 管理信息系统及办公自动化系统，各电力监控系统必须具备可靠性高的自身安全 防护设施，不得与安全等级低的系统直接相联。 具体的实现形式为：电力监控系统可通过专用局域网实现与本地其他电力监 控系统的互联，或通过电力调度数据网络实现上下级异地 电力监控系统的互联。 各电力监控系统与办公自动化系统或其他信息系统之间以网络方式互联时 ,必须 采用经国家有关部门认证的专用、可靠的安全隔离设施。 在国家电力调度通信中心制订的《全国电力二次系统安全防护总体方案》进 一步指出：电网调度系统安全防护的重点是抵御病毒、黑客等通过各种形式发起 的恶意破坏和攻击，尤其是集团式攻击，重点保护电力实时闭环监控系统及调度 数据网络的安全，防止由此引起电力系统事故，从而保障电力系统的安全稳定运 行，保证国家重要基础设施的安全，要从国家安全战略的高度充分认识电力安全 防护的重大 意义。 根据电力二次系统的特点、目前状况和安全要求，《全国电力二次系统安全 防护总体方案》将整个二次系统分为四个安全工作区：实时控制区、非控制生产 区、生产管理区、管理信息区。 ■ 安全区Ⅰ为实时控制区，安全保护的重点与核心。 凡是具有实时监控功能的系统或其中的监控功能部分均应属于安全区Ⅰ。 如：调度自动化系统和广域测量系统、配电自动化系统、变电站自动化系统、发电厂自动监控系统或火电厂的管理信息系统（ SIS）中 AGC 功能等。 其面向的使 用者为调度员和运行操作人员，数据实时性为秒级，外部边界的通信均经由 电力 调度数据网。 区中还包括采用专用通道的控制系统，如：继电保护、安全自动控 制系统、低频 /低压自动减载系统、负荷控制系统等，这类系统对数据通信的实 时性要求为毫秒级或秒级，是电力二次系统中最重要系统，安全等级最高。 ■ 安全区Ⅱ为非控制生产区，原则上不具备控制功能的生产业务和批发交 易业务系统，或者系统中不进行控制的部分均属于安全区Ⅱ。 如：水调自动化系 统、电能量计量系统、发电侧电力市场交易系统等。 其面向的使用者为运行方式、运行计划工作人员及发电侧电力市场交易员等。 数据的实时性是分级、小时级。 该区的外部通 信边界为电力调度数据网。 ■ 安全区Ⅲ为生产管理区，该区的系统为进行生产管理的系统，如：雷电 监测系统、气鹤壁煤电股份有限公司热电厂管理信息系统 16 象信息接入以及各种调度生产管理应用等。 该区的外部通信边界为 电力数据通信网（ SPT）。 ■ 安全区 IV 为管理信息区，该区包括办公管理信息系统、客户服务等。 该 区的外部通信边界为 SPT 及因特网。 各安全区之间均需选择适当安全强度的隔离装置。 具体隔离装置的选择不仅 需要考虑网络安全的要求，还需要考虑带宽及实时性的要求。 隔离装置必须是国 产并经过国家或电力系统有关部门认证。 ■ 安全区Ⅰ与 安全区Ⅱ之间的隔离要求： 允许采用经有关部门认定核准的硬件防火墙，应禁止 Email、 Web、 Tel、 小 Rlogin 等访问。 ■ 安全区 III 与安全区 IV 之间的隔离要求： Ⅲ、Ⅳ 区之间应采用经有关部门认定核准的硬件防火墙； 安全区Ⅰ、Ⅱ与安全区Ⅲ、Ⅳ之间的隔离要求： 安全区Ⅰ、Ⅱ不得与安全区Ⅳ直接联系，安全区Ⅰ、Ⅱ与安全区Ⅲ之间必须 采用经有关部门认定核准的专用隔离装置。 专用隔离装置分为正向隔离装置和反 向隔离装置，从安全区Ⅰ、Ⅱ往安全区Ⅲ单向传输信息须采用正向隔离装置，由 安全区 Ⅲ往安全区Ⅱ甚至安全区Ⅰ的单向数据传输必须采用反向隔离装置。 反向 隔离装置采取签名认证和数据过滤措施。 专用隔离装置应禁止 EMAIL、 WEB、 Tel、 Rlogin 等访问 . 产品简介 网络物理隔离技术的主要原理是由两套各自独立的系统分别连接内网和 外 网 ， 两套系统之间是一个类 似 “闸门 ” 的物理隔离装置。 当内网连通时 ， 断开与 外网连接 ； 当外网连通时 ， 断开与内网的连接 ； 分时地使用两套系统中的数据通 路进行数据交换 ， 达到隔离与数据交换的目的。 它是从物理上隔离阻断潜在攻击 的连接 ， 其中包括一系列的隔断 特征 ： 没有通信连接 、 没有命令。